Pierwszym krokiem na drodze dostosowania swojej firmy do obowiązujących przepisów w zakresie ochrony danych osobowych jest przeprowadzenie odpowiedniej analizy dot. przetwarzania danych osobowych w przedsiębiorstwie, w ramach której każdy przedsiębiorca zinwentaryzuje posiadane zasoby danych osobowych, ustali podstawy prawne przetwarzania oraz dokona oceny ryzyka z tym związanego.
Inwentaryzacja danych osobowych
W ramach kroku pierwszego każdy przedsiębiorca musi odpowiedzieć sobie na pytanie czy przetwarza dane osobowe? Należy w pierwszej kolejności ustalić wszystkie procesy, w których każda firma przetwarzana dane osobowe osób fizycznych oraz przedsiębiorców prowadzących działalność gospodarczą w formie jednoosobowej działalności gospodarczej.
Zapewne większość z przedsiębiorców przetwarza dane osobowe w przynajmniej w jednej ze wskazanych poniżej sytuacji:
- zatrudniania pracowników,
- zbierania danych klientów do zamówień,
- zbierania danych kontaktowych/ klientów w celach marketingowych,
- tworzenia bazy danych dostawców surowców,
- zamieszczania zdjęć klientów i pracowników na fanpage firmy,
- monitoringu terenu firmy,
- identyfikowania za pomocą systemu GPS położenia samochodu firmowego (i pracownika).
Podana wyżej lista nie ma w żadnym wypadku charakteru zamkniętego a jednie przykładowy. Wszędzie tam, gdzie są m.in. zbierane, utrwalane, organizowane, porządkowane, przechowywane, pobierane, przeglądane, wykorzystywane, ujawniane lub niszczone (tak niszczone także) dane osobowe dochodzi do procesu przetwarzania danych osobowych. Najłatwiej będzie zinwentaryzować posiadane zasoby danych osobowych poprzez podzielenie konkretnych osób fizycznych wedle łączącego je z przedsiębiorstwem stosunku prawnego lub faktycznego. W ten sposób zapewne każdemu przedsiębiorcy uda się ustalić, że przetwarza dane osobowe swoich pracowników, klientów i kontrahentów. Procesy przetwarzanie danych osobowych powinny być takie same dla każdej z powyżej wymienionych grup. I tak np. dane osobowe pracowników przedsiębiorcy przetwarzają w procesie zatrudniania, dokonywania rozliczeń z tytułu pracy w US i ZUS, a także czasem w związku z świadczeniami socjalnymi (np. dofinansowanie urlopu).
Gdy już zostaną ustalone procesy przetwarzania danych osobowych w przedsiębiorstwie to w dalszej kolejności należy ustalić za pomocą jakich narzędzi technicznych te dane są przetwarzane. Poprzez narzędzia służące do przetwarzania danych osobowych należy rozumieć wszystko to co służy fizycznie do dokonywania czynności na posiadanych przez nas zbiorach danych. Jak przykład procesów przetwarzania danych osobowych przy użyciu różnych narzędzi można podać przykład ręcznego wypisywania faktury VAT za wykonane usługi oraz wystawiania faktury użyciu specjalistycznego programu do którego należy zalogować się za pośrednictwem strony internetowej. Identyfikacja procesów przetwarzania danych osobowych oraz narzędzi do tego wykorzystywanych pozwoli na dokonanie pełnej inwentaryzacji zasobów danych osobowych.
Ustalenie podstaw prawnych przetwarzania
Po zinwentaryzowaniu posiadanych zasobów należy przystąpić do ustalenia podstawy prawnej przetwarzania posiadanych danych. Etap ten nie powinien nastręczyć wielu trudności. Zgodnie z art. 6 ust. 1. RODO Przetwarzanie jest zgodne z prawem m.in. gdy osoba, której dane dotyczą wyraziła zgodę na to zgodę, przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy, przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze.
Polecam zapoznać się z całym art. 6 RODO. Dla każdego procesu przetwarzania danych osobowych w firmie musi istniej podstawa prawna albo inaczej – prawne uzasadnienie przetwarzania. Celem wdrożenia RODO w przedsiębiorstwie należy ustalić czy dla zidentyfikowanych w firmie operacji na danych osobowych można dopasować podstawę prawną. Dla celów przedmiotowego artykułu – czyli opisania procesu ustalenia podstaw prawnych przetwarzania – skorzystam jednie z pierwszych trzech najbardziej popularnych podstaw prawnych podam do nich przykłady.
Zgoda buduje…
W braku innej podstawy prawnej do przetwarzania danych osobowych konieczna jest zgoda osoby fizycznej. Zgoda nie musi być wyrażona w formie pisemnej, ale w razie kontroli odpowiedniego organu każdy przedsiębiorca musi być w stanie wykazać, że przedmiotowa zgoda została wyrażona. W efekcie sprowadza się do tego, że najłatwiej jest po prostu uzyskać zgodę w formie pisemnej.
Jeżeli firma przetwarza dane osobowe swoich klientów, a przetwarzanie to nie ma związku z żadną inną podstawą prawną wymienioną w art. 6 RODO, w tym w związku z np. wykonywanym na rzecz osoby fizycznej zleceniem to należy postarać się o uzyskanie oświadczenia osoby fizycznej o wyrażeniu zgody na przetwarzanie danych osobowych. Z podpisanego oświadczenia musi wynikać jednoznacznie, że osoba je składająca wie na co wyraziła zgodę – w jaki sposób będą przetwarzane jej dane osobowe w konkretnym celu. Klasycznym przykładem wymagającym zgody osoby fizycznej są działania marketingowe takie jak przesyłanie newslettera czy wysyłanie firmowych kartek z życzeniami.
Umowa zastępuje zgodę
Przed datą 25 maja 2018 r. wielu przedsiębiorców zastanawiało się czy po wejściu RODO będą mogli prosić klientów o podanie imienia i nazwiska. Przedsiębiorca ma prawo zebrać od klienta te dane osobowe, które są mu niezbędne do wykonania zawartej z klientem umowy. Na marginesie dodam tylko, że umowa ta oczywiście nie musi być pisemna. Ale uwaga! Niezgodne z prawem będzie wykorzystywanie zebranych od klienta danych osobowych do celów innych niż wykonanie przedmiotowej umowy jeżeli nie wyraził na to odrębnej zgody. Umowa nie usprawiedliwia także zbierania od klienta tych danych osobowych, które w żaden sposób do wykonania z nim umowy nie posłużą.
Ciążący na administratorze obowiązek prawny
Część procesów przetwarzania danych w przedsiębiorstwie znajdzie swoją legitymację w ciążącym na administratorze obowiązku prawnym. To oznacza, że przedsiębiorca ma prawo przetwarzać dane osobowe bez zgody osoby fizycznej i w braku łączącej stron umowy jeżeli jest w stanie wykazać, iż przetwarzając dane osobowe realizuje ciążący na nim obowiązek prawny. Przykładem takiego działania może być monitoring wizyjny w pomieszczeniach przedsiębiorstwa służący zapewnieniu bezpiecznych i higienicznych warunków pracy dla pracowników jak również instalowanie w samochodach służbowych lokalizatorów GPS. Obowiązek ten wynika wprost z przepisów prawa pracy. Należałoby jedynie w tym miejscu zwrócić uwagę, że wskazane w tym akapicie działania wymagają dopełnienia także obowiązku informacyjnego czyli poinformowania osób zainteresowanych o prowadzonych działaniach i celach jakimi służą.
Ryzyko przetwarzania danych osobowych
Każdy przedsiębiorca ma obowiązek wdrożenia odpowiednich środków bezpieczeństwa celem zabezpieczenia przetwarzanych danych osobowych. Szczegółowo zostanie to omówione w kolejnych krokach. Obowiązek wdrożenia odpowiednich zabezpieczeń łączy się jednakże z innym obowiązkiem przedsiębiorcy, a to określeniem poziomu ryzyka związanego przetwarzaniem danych osobowych. Podejście oparte na ryzyku – bo to wprowadza RODO do polityki przetwarzania danych – wymaga ciągłego monitorowania poziomu ryzyka związanego z przetwarzaniem danych osobowych.
Nie jest więc wystarczającym jednorazowe dla danego procesu określenie poziomu ryzyka i zastosowanie środków zabezpieczenia danych – poziom ryzyka powinien być monitorowany ciągle w ramach trwających procesów przetwarzania danych. Oczywiście wielu przedsiębiorcom może wydawać się, iż przetwarzanie przez nich danych osobowych w zasadzie nie wiąże się z żadnym ryzykiem. Niestety nie jest to prawdą. W dobie kradzieży danych osobowych celem dokonywania innych przestępstw niezwykle ważnym elementem jest określenie ryzyka jakie wiążę się z przetwarzaniem danych osobowych. Inny będzie poziom ryzyka utraty danych osobowych w wyniku kradzież w przypadku przedsiębiorstwa przetwarzającego dane osobowe tylko w wersji papierowej a inny w przypadku przedsiębiorstwa, które korzysta z zewnętrznych serwerów. np. ryzyka kradzieży danych lub dostępu osób nieuprawnionych.
Przeprowadzona analiza i co dalej?
Opisane powyżej czynności należy przeprowadzić na wstępie bowiem są one podstawą do dalszych działań w zakresie wdrożenia RODO w przedsiębiorstwie, czyli przygotowania niezbędnej dla każdego przedsiębiorcy dokumentacji.